什么是数据加密密钥？_数据加密服务 DEW_常见问题_密钥管理类

创建数据加密密钥

KMS仅支持通过调用API接口的方式创建、加密和解密数据加密密钥。创建数据加密密钥有两种方式，如下：

• 调用create-datakey接口，返回数据加密密钥的明文和使用您指定的CMK加密后的数据加密密钥的密文。
• 调用create-datakey-without-plaintext接口，返回使用您指定的CMK加密后的数据加密密钥的密文。当您需要获取数据加密密钥的明文时，请调用decrypt-datakey接口对该密文进行解密。

使用数据加密密钥加密数据

KMS无法使用数据加密密钥加密数据。您可以利用KMS之外的加密库（例如： OpenSSL），使用数据加密密钥对数据进行加密。

1. 根据创建数据加密密钥获取数据加密密钥的明文。
2. 使用数据加密密钥的明文加密数据。
3. 删除数据加密密钥的明文，将数据加密密钥的密文和加密后的数据一起存储到安全的存储设备。

使用数据加密密钥解密数据

KMS无法使用数据加密密钥解密数据。您可以利用KMS之外的加密库（例如： OpenSSL），使用数据加密密钥对数据进行解密。

1. 获取您已加密的数据和加密该数据时使用的数据加密密钥的密文。
2. 调用decrypt-datakey接口，获取您加密该数据时使用的数据加密密钥的明文。
3. 使用数据加密密钥的明文解密数据。
4. 删除数据加密密钥的明文。